虚拟机安装与NAT上网配置见:OPNsense防火墙笔记二:Esxi上安装与NAT上网设置
一、初始安装与接口规划1. 接口信息分配及拓扑图
| 接口 |
物理网卡 |
IP配置 |
用途 |
特殊要求 |
| 管理口 |
eth3 |
192.168.25.2/24 |
防火墙管理 |
注意子网掩码 |
| WAN口 |
eth2 |
无IP(透明桥接成员) |
连接外网链路 |
可清空IPv4/IPv6配置 |
| LAN口 |
eth1 eth0 |
无IP(透明桥接成员) |
连接内网设备 |
绑定到同一网桥 |
| 测试机 |
– |
192.168.25.x/24 |
验证网络连通性 |
与管理口同网段 |
-
安装时设置:
- LAN口(eth0):
192.168.1.1/24(临时管理IP)
- WAN口(eth1):DHCP或空置
-
3. 管理口配置
第一步:创建管理接口
- 路径:
接口 > 分配
-
操作:
- 点击
+添加新接口
- 设备选择物理网卡(如igc3),同时将闲置端口分配给LAN2
-
描述填写
Manage
第二步:设置管理IP
- 路径:
接口 > [Manage]
-
参数:
- IPv4配置类型:
静态IPv4
- IP地址:
192.168.25.2
-
子网掩码:
24(必须修改,默认32位会导致无法连接)
第三步:放行管理口流量
- 路径:
防火墙 > 规则 > Manage
-
添加规则:
- 动作:
通过
- 协议:
any
-
源/目的:
any
- 然后“应用更改”,并验证网络,查看管理口能否登录,如果能,继续下面操作,如果有问题认真检查,或回到命令行 恢复出厂
二、透明网桥配置流程
第一步:清除WAN/LAN口IP
- 路径:
接口 > [WAN] 和 接口 > [LAN]
-
操作:
-
IPv4配置类型:
None
-
第二步:创建网桥设备
- 路径:
接口 > 设备 > 网桥 > +添加
-
参数:
- 成员接口:勾选
WAN和LAN
-
描述:
Bridge
第三步:分配网桥接口
- 路径:
接口 > 分配
-
操作:
- 点击
+添加新接口
- 设备选择刚创建的
bridge0
-
标识符自动生成(如
opt3)
-
回到接口后,并启用bridge(默认未启用)
第四步:启用网桥过滤
- 路径:
系统 > 设置 > 可调参数
-
修改参数:
net.link.bridge.pfil_bridge:1,启用过滤桥-
net.link.bridge.pfil_member:0, 禁用对桥接口成员的过滤
-
第五步:放行桥接流量
- 路径:
防火墙 > 规则 > BRIDGE
-
添加规则:
- 动作:
通过
- 接口:
BRIDGE
-
方向:
进/出
第六步:禁用出站NAT
- 路径:
防火墙 > NAT > 出站
-
操作:
-
模式选择:
禁用出站NAT规则生成
三、管理口外网访问(可选)
- 路径:
系统 > 网关 > 配置
-
操作:
四、安全功能扩展
1. 入侵检测(IDS)配置
- 路径:
服务 > 入侵检测 > 管理
-
操作:
- 启用入侵检测
- 接口选择:
BRIDGE(非管理口)
- 下载并启用规则集
-
2. 防病毒插件安装
- 路径:
系统 > 固件 > 插件
-
安装:
os-damaw(ClamAV引擎)-
os-crowdsec(威胁情报)
